¿Qué tan fácil fue realizar el ataque cibernético contra Sony?
La empresa promedio está a un mal clic, contraseña mal colocada o empleado enojado de distancia de ser hackeada.
En Sony Pictures, la empresa básicamente le dio la bienvenida a los hackers.
Documentos filtrados muestran que los empleados de Sony mantenían las listas de contraseñas en hojas de cálculo en sus computadoras. También, los empleados mantenían los números de Seguridad Social de 47,426 personas; incluidos Conan O’Brien y Sylvester Stallone, en archivos no encriptados. Eso podría ser bastante imprudente.
El mega hackeo de Sony Pictures , repleto de computadoras borradas y documentos expuestos, es solo el ejemplo más reciente de cómo los hackers pueden atacar las redes de computadoras de las empresas con una facilidad aterradora.
En 2010, los hackers deslizaron una “bomba digital” en Nasdaq que casi saboteó el mercado de las acciones. En 2010, Irán arruinó 30,000 computadoras en el productor saudí de petróleo, Aramco . En 2013, los hackers de Corea del Norte congelaron algunos de los bancos y redes de medios de Corea del Sur.
Mientras tanto, las empresas que buscan reducir los costos y aumentar la eficiencia centralizan poderosos controles de redes, dándole acceso a más empleados a cantidades masivas de datos. El 71% de los empleados dice que tiene acceso a datos sensibles que no deben ver, según una nueva encuesta de expertos en privacidad en el Instituto Ponemon en Estados Unidos.
Eso significa que la recompensa por hackear es mucho mayor, de acuerdo con Richard Danzig, vicepresidente de la Corporación RAND y exsecretario de Marina. Obtener el nombre de usuario y contraseña de un empleado a través de un correo electrónico sencillo de phishing podría ser suficiente para conseguir todos los archivos de una empresa.
“No creo que nadie tenga idea de la magnitud de nuestro reto”, dijo Danzig. “La inseguridad cibernética puede llevar a la destrucción de tu empresa, tu marca, tu capacidad, tus activos”.
Las empresas simplemente no hacen lo suficiente para protegerse; muchos incluso ignoran el protocolo básico de ciberseguridad.
En una encuesta reciente realizada por la empresa de ciberseguridad Trustwave , se muestra que el 18% de las empresas no realizan “pruebas de penetración”, esencialmente una búsqueda de agujeros que los hackers pueden explotar. Y el 20% de las empresas no tiene una forma para que alguien reporte incidentes de seguridad.
No es suficiente para una empresa instalar programas antivirus en cada computadora y restringir el comportamiento del empleado en línea. Cada empleado está al frente de un conflicto presente, le guste o no.
No todas las industrias son igual de vulnerables. Los bancos están por delante: son hackeados, pero sus pérdidas generalmente son mínimas, según concuerdan ampliamente los expertos de seguridad. Pero otros sectores; manufactura, salud, tiendas minoristas, están muy atrás. En el año pasado, una de las mayores cadenas de hospitales de Estados Unidos fue hackeada , perdiendo datos sobre 4.5 millones de pacientes y Home Depot, una de las mayores tiendas minoristas del país, también sufrió un gran hackeo.
Incluso la infraestructura crítica es vulnerable. La red de energía de Estados Unidos está bajo constante ataque , por ejemplo.
¿El hackeo de Sony servirá como llamada de atención para que las empresas aumenten sus defensas?
Ralph Langner, un consultor alemán de ciberseguridad, no está convencido de que sea lo suficientemente brutal.
“Todavía no es lo suficientemente doloroso”, dijo Langner. “Va a empeorar. No aprendimos después de lo de Target . Todo salió fácil. ¿Sony? Tendremos que ver los daños de verdad”.